Pseudonimisering

Voor de uitvoer van het DDD-partnership verwerkt i2i grote hoeveelheden privacy- en marktgevoelige informatie van zowel verzekeraars als zorgverleners. Om de veiligheid van deze informatie te waarborgen, gaat i2i zeer zorgvuldig om met de data en data-uitwisseling. Het beleid van i2i met betrekking tot databeveiliging staat beschreven in dit document. i2i werkt volledig volgens de NEN 7510 standaard en geldende wet- en regelgeving. De verwerking van persoonsgegevens die i2i ontvangt van zowel de zorgverzekeraars als de zorgverleners is in overeenstemming met de Wet Bescherming Persoonsgegevens, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, het daarbij behorende Addendum Zorgverzekeraars en het Protocol materiële controle. Bij het psuedonimiseren van de data worden de volgende bewerkingen uitgevoerd:

• BSN wordt gehasht bij de zorgverlener en nogmaals bij de SBPDDDP.
• Verzekerdennummer wordt gehasht bij de zorgverlener en nogmaals bij de SBPDDDP.
• Postcode wordt gereduceerd tot postcode-4 en postcode gebieden met minder dan 200 inwoners worden onherkenbaar gemaakt.
• Geboortedatum wordt gereduceerd tot geboortejaar. Personen met een leeftijd hoger dan 97 krijgen een geboortejaar alsof ze 97 zijn.
• Indien aanwezig wordt het factuurnummer verwijderd.
• Indien het patiëntnummer zoals dat in het ziekenhuis zelf wordt gebruikt aanwezig is in de data wordt dit gepseudonimiseerd (bijvoorbeeld bij de gegevensstandaard QZ301). Ziekenhuizen dienen zelf zorg te dragen voor het pseudonimiseren van het patiëntnummer, zodat i2i nooit in het bezit dit “echte” patiëntnummer. Omdat het ziekenhuis zelf zorg draagt voor de pseudonimisatie kan i2i deze nummers wel gebruiken om uitkomsten van analyses terug te koppelen.

Gebruikersinstructie pseudonimiseringstool

Voor het uitvoeren van de pseudonimisering heeft i2i een tool ontwikkeld. U kunt deze downloaden van onze website https://file.web.i2i.eu/. Hier kunt u de tool downloaden met gebruikersnaam Downloadtool, u krijgt hiervoor een wachtwoord toegestuurd via SMS. Vanaf het versturen van de SMS is het wachtwoord 2 werkdagen geldig. En vervolgens kunt u deze zonder installatie uitvoeren op uw systeem. Een handleiding voor het uitpakken en gebruiken van de pseudonimisatietool kunt u hier vinden. Een beknopt stappenplan vindt u hieronder.

Om de tool in gebruik te nemen voert u de volgende stappen uit:
1) Pak de zipfile uit naar een map vanuit waar u een .exe bestand mag uitvoeren.
2) Download de configuratiebestanden via deze link. In het zip-bestand bevinden zich de mappen “Formats” en “Config”, plaats deze in als het .exe bestand.
3) Uw publieke sleutel, die wordt gebruikt voor het versleutelen van de bestanden, bevindt zich in het bestand provider.xml. U krijgt dit bestand via de e-mail toegestuurd. Plaats dit bestand in de map “Config”. Als u een nieuwe versie van de tool in gebruik neemt dan dient u dit bestand uit de oude map te halen.
4) U kunt nu de tool starten door te dubbelklikken op pseudo.exe

Deze mappen dienen dus in hun geheel in de folder met de pseudonimisatietool te staan:

Voor de uitvoer van het DDD-partnership verwerkt i2i grote hoeveelheden privacy- en marktgevoelige informatie van zowel verzekeraars als zorgverleners. Om de veiligheid van deze informatie te waarborgen, gaat i2i zeer zorgvuldig om met de data en data-uitwisseling. Het beleid van i2i met betrekking tot databeveiliging staat beschreven in dit document. i2i werkt volledig volgens de NEN 7510 standaard en geldende wet- en regelgeving. De verwerking van persoonsgegevens die i2i ontvangt van zowel de zorgverzekeraars als de zorgverleners is in overeenstemming met de Wet Bescherming Persoonsgegevens, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, het daarbij behorende Addendum Zorgverzekeraars en het Protocol materiële controle. Bij het psuedonimiseren van de data worden de volgende bewerkingen uitgevoerd:

• BSN wordt gehasht bij de zorgverlener en nogmaals bij de SBPDDDP.
• Verzekerdennummer wordt gehasht bij de zorgverlener en nogmaals bij de SBPDDDP.
• Postcode wordt gereduceerd tot postcode-4 en postcode gebieden met minder dan 200 inwoners worden onherkenbaar gemaakt.
• Geboortedatum wordt gereduceerd tot geboortejaar. Personen met een leeftijd hoger dan 97 krijgen een geboortejaar alsof ze 97 zijn.
• Indien aanwezig wordt het factuurnummer verwijderd.
• Indien het patiëntnummer zoals dat in het ziekenhuis zelf wordt gebruikt aanwezig is in de data wordt dit gepseudonimiseerd (bijvoorbeeld bij de gegevensstandaard QZ301). Ziekenhuizen dienen zelf zorg te dragen voor het pseudonimiseren van het patiëntnummer, zodat i2i nooit in het bezit dit “echte” patiëntnummer. Omdat het ziekenhuis zelf zorg draagt voor de pseudonimisatie kan i2i deze nummers wel gebruiken om uitkomsten van analyses terug te koppelen.

Gebruikersinstructie pseudonimiseringstool

Voor het uitvoeren van de pseudonimisering heeft i2i een tool ontwikkeld. U kunt deze downloaden van onze website https://file.web.i2i.eu/. Hier kunt u de tool downloaden met gebruikersnaam Downloadtool, u krijgt hiervoor een wachtwoord toegestuurd via SMS. Vanaf het versturen van de SMS is het wachtwoord 2 werkdagen geldig. En vervolgens kunt u deze zonder installatie uitvoeren op uw systeem. Een handleiding voor het uitpakken en gebruiken van de pseudonimisatietool kunt u hier vinden. Een beknopt stappenplan vindt u hieronder.

Om de tool in gebruik te nemen voert u de volgende stappen uit:
1) Pak de zipfile uit naar een map vanuit waar u een .exe bestand mag uitvoeren.
2) Download de configuratiebestanden via deze link. In het zip-bestand bevinden zich de mappen “Formats” en “Config”, plaats deze in als het .exe bestand.
3) Uw publieke sleutel, die wordt gebruikt voor het versleutelen van de bestanden, bevindt zich in het bestand provider.xml. U krijgt dit bestand via de e-mail toegestuurd. Plaats dit bestand in de map “Config”. Als u een nieuwe versie van de tool in gebruik neemt dan dient u dit bestand uit de oude map te halen.
4) U kunt nu de tool starten door te dubbelklikken op pseudo.exe

Deze mappen dienen dus in hun geheel in de folder met de pseudonimisatietool te staan:

De pseudonimisatietool heeft de volgende systeemeisen:

• RAM: minimaal 3 GB vrij bruikbaar geheugen
• Windows XP / 7 / 8
• Permissies om i2i executable te draaien (installatie is niet nodig)

Klaarzetten bestanden

Voordat pseudo.exe opgestart wordt dienen de bestanden als volgt klaargezet te worden:

1) Zet alle te pseudonimiseren bestanden klaar in een folder met lees en schrijfrechten (bijv. folder d:\ziekenhuisdata, d:\farmaciedata). Eventuele subfolders worden ook verwerkt.
2) Bestanden kunnen zowel zips zijn als uitgepakte bestanden, maar dienen wel uniform in de folder te staan (alleen zips of alleen uitgepakte bestanden). Let er ook op dat de naamgeving voldoet aan de voorwaarden die gesteld worden in de aanleverinstructies.
3) Zip-bestanden dienen niet gecomprimeerd te zijn met de DEFLATE64-compressiemethode. Windows gebruikt deze methode standaard als er bestanden groter dan 2 GB worden gecomprimeerd. Bestanden groter dan 2 GB dienen derhalve gecomprimeerd te worden met een aparte programma, bijvoorbeeld 7-zip.

Uitvoer pseudonimisatie

Vervolgens kunnen de bestanden die zijn klaargezet als volgt gepseudonimiseerd worden:

1) Start de pseudonimisatietool op door te dubbelklikken op pseudo.exe of door de commandline versie aan te roepen via pseudocmd.exe. De syntax voor pseudocmd.exe is op te roepen door “pseudocmd –help” uit te voeren in de console.
2) Selecteer de folder met te pseudonimiseren bestanden.
3) Klik op de knop “Start”. De tool herkent automatisch om wat voor type bestanden het gaat.
4) Indien de pseudonimisatie correct verlopen is, krijgt u een melding dat de tool klaar is. De gezipte verwerkte bestanden staan in een subfolder van de folder met originele bestanden (bijv. d:\ziekenhuisdata\gepseudonimiseerd).
5) Indien er fouten opgetreden zijn die u waarschijnlijk zelf kunt oplossen, verschijnen deze op het scherm. Indien er echter meer complexe fouten opgetreden zijn, wordt er gedetailleerde error logging op het scherm weergegeven en in de folder van het programma onder de bestandnaam “log.txt” opgeslagen. We verzoeken u dit bestand naar ons te mailen met de melding dat pseudonimisatie niet correct verlopen is.
6) Om de werking van de pseudonimisatie zonder versleuteling te kunnen zien – bijvoorbeeld voor auditing of troubleshooting – kunt u de optie “Pseudonimisatie testen door niet te encrypten” aanzetten. De ZIP-bestanden waarin de gepseudonimiseerde bestanden dan geplaatst worden zijn dan te openen zonder wachtwoord. Normaliter zijn de gepseudonimiseerde bestanden beveiligd en enkel te gebruiken door SBPDDDP. Let dus op dat bestanden die op deze manier zijn verwerkt nooit worden verstuurd.

De gepseudonimiseerde en versleutelde bestanden kunt u beveiligd uploaden naar Stichting BPDDDP met uw login en password.

Technische beschrijving pseudonimiseringstool

i2i maakt uitvoerig gebruik van pseudonimisering van data om privacy en veiligheid van data te waarborgen. Er zijn zijn drie partijen betrokken bij dit pseudonimisatieproces:

1) Zorgverlener: pseudonimisatie en versleuteling
2) Stichting Beheer Pseudonimisatie Doelmatig Direct Declareren Partnership (SBPDDDP): ontvangst, decryptie en repseudonimisatie
3) i2i: ontvangst

De verdeling van de verschillende stappen binnen het pseudonimisatieproces over de betrokken partijen is hieronder weergegeven.

Pseudonimiseren gebeurt volgens HMAC-SHA1 codering inclusief salt. Repseudonimiseren gebeurt volgens HMAC-SHA2 codering inclusief salt.

Versleutelen van de bestanden gebeurt met AES (symmetrisch algoritme) waarbij elke keer een nieuwe sleutel gegenereerd wordt bij de zorgverlener als deze een nieuwe batch bestanden gaat versleutelen. Deze sleutel wordt via RSA (asymmetrisch algoritme) met de public key versleuteld en meegestuurd als metadata. RSA zelf is te langzaam om direct grote bestanden te versleutelen (deze combinatie van RSA en AES is standaard).

De data die i2i van zorgverzekeraars krijgt doorloopt hetzelfde proces als de data vanuit zorgverleners. Doordat voor elke data-leverancier dezelfde hash en salt gebruikt wordt is i2i in staat om gegevens op patiëntniveau aan elkaar te koppelen zonder dat i2i de identiteit van de patiënt vast kan stellen.